هشدار محققان امنیتی درباره
پژوهشگران امنیتی در شرکت سیسکو تالوس، بهتازگی بدافزار جدیدی در سیستم عامل اندروید شناسایی کردهاند که با وجود پیچیدگیهای مختلف ساختاری، دارای انعطافپذیری بلحاظ توسعه بوده و قابلیت سازگاری با شرایط مختلف را داراست.
به گفته سیسکو تالوس، بدافزار GPlayed در حال تبدیل شدن به خطری جدی است و مجرمان سایبری در حال آزمایش روی این بدافزار هستند. بدافزاری که با ساختار ماژولی، قابلیتهای خود را از طریق پلاگینها گسترش میدهد، بدون آنکه نیازی به تجدید یا بهروزرسانی آن روی دستگاههای آلوده وجود داشته باشد.
محققان سیسکو تالوس براین باورند که GPlayed یک تروجان کامل محسوب میشود که تواناییهای متنوعی از تروجان بانکی گرفته تا یک تروجان کامل جاسوسی و حتی باجافزار شدن را بهصورت کنترلی داراست.
بررسیهای فنی روی بدافزار GPlayed
براساس اطلاعات منتشر شده، سازندگان GPlayed میتوانند از طریق تزریق اسکریپت، کدهای مخرب جدید را به بدافزار ارسال کنند. شیوهای که یک گام جدید در سیر صعودی و تکاملی در این بدافزار محسوب شده و منجر به ایجاد تهدیدهای چندگانه میشود.
این بدافزار که در حال حاضر با نام Google Play Marketplace و آیکونی شبیه به آیکون برنامه Play Store منتشر شده است، در گام نخست تلاش میکند با توجه به دسترسی BIND_DEVICE_ADMIN، کنترل کامل به دستگاه آلوده را بدست آورد.
پس از بدست آوردن دسترسی مدیریتی در دستگاه آلوده، GPlayed میتواند به کل پیامکها، لیست مخاطبان دسترسی یابد و همچنین میتوانند تماسهای جدید برقرار کند. نمایش پیامهای USSD، اجرای سایر برنامهها، حذف اطلاعات، دستکاری تنظیمات شبکه، تغییر و تنظیم رمز دسترسی به دستگاه از دیگر قابلیتهایی است که بهصورت اولیه در این بدافزار به کار رفته است.
اما یکی از مهمترین قابلیتهای این بدافزار، امکان تزریق کدهای جاوا اسکریپت به وبسایتهای بارگذاری شده توسط مرورگر دستگاههای آلوده است که امکان سرقت اطلاعات را برای مهاجمان فراهم میسازد. با توجه به اینکه این مساله بهصورت از راه دور، توسط سرورهای فرمان و کنترل مهاجمان قابل مدیریت است، سازندگان این بدافزار میتوانند به راحتی برای مقاصد مختلف، مانند سرقت اطلاعات بانکی، از آن بهرهبرداری کنند.
توضیحات بیشتر در:
- GPlayed Trojan - .Net playing with Google Market